Dépanner l'exemple de déploiement
Ce guide décrit les étapes de dépannage qui pourraient vous être utiles si vous rencontrez des problèmes lors du déploiement de l'exemple de déploiement Anthos.
Pour savoir comment déployer et explorer l'exemple, consultez le tutoriel Découvrir GKE Enterprise.
Si un problème se produit lors du déploiement, vous pouvez trouver les informations pertinentes concernant les erreurs dans la vue Deployment Manager. Si vous voyez comme résultat échec du déploiement, cliquez sur Afficher les détails, puis sur l'icône en forme de triangle afin d'afficher toutes les ressources et de découvrir quel élément a échoué.
Erreurs lors des vérifications préalables
L'exemple de déploiement Anthos contient un script de prérequis que vous pouvez exécuter avant le déploiement afin de vérifier que votre projet répond aux critères de succès du déploiement. Le serveur de saut vérifie également certains de ces prérequis et entraîne l'échec du déploiement si ceux-ci ne sont pas remplis. Toutes les erreurs associées à ces vérifications préalables sont visibles dans la vue Deployment Manager de la ressource prerequisite-check
correspondante. Les prérequis suivants font l'objet d'une vérification lors du déploiement :
- prerequisite-check-sa-permission
- prerequisite-check-existing-deployment
- prerequisite-check-invalid-project-env
- prerequisite-check-invalid-project-id
- prerequisite-check-org-policy-ip-forwarding
- prerequisite-check-org-policy-os-login
- prerequisite-check-cpu-quota
La capture d'écran suivante montre un exemple d'échec de déploiement d'un exemple de déploiement Anthos en raison de prérequis.
L'API Service Management n'est pas activée (code 403)
Solution suggérée : Activez l'API Service Management pour le projet choisi, puis relancez le déploiement.
Environnement de projet non valide
Un projet Qwiklabs a été détecté. L'exemple de déploiement Anthos n'est pas conçu pour s'exécuter dans l'environnement Qwiklabs.
Solution suggérée : Créez un projet dans votre organisation avec un ID de projet différent.
ID de projet non valide
Si votre projet est à l'échelle de votre domaine, l'ID de projet comprend le nom du domaine suivi par le signe deux-points (:
). Les ID de projet à l'échelle du domaine sont une ancienne fonctionnalité.
Solution suggérée : Créez un projet qui ne concerne pas l'ensemble du domaine, puis relancez le déploiement.
Autorisations insuffisantes pour créer un compte de service
Solution suggérée
Vérifiez que vous disposez de l'autorisation resourcemanager.projects.setIamPolicy
(généralement, c'est le cas des propriétaires de projet ou des administrateurs de compte de service). Si vous ne disposez pas de l'un de ces rôles Identity and Access Management (IAM), effectuez l'une des opérations suivantes :
- Créez un projet (vous en serez automatiquement le propriétaire).
- Demandez au propriétaire du projet ou à l'administrateur de compte de service de vous attribuer l'un des rôles suivants :
- roles/owner (rôles/propriétaire)
- roles/iam.serviceAccountAdmin
Quota insuffisant pour répondre à la demande
Solution suggérée : Le déploiement nécessite 7 processeurs virtuels, 24,6 Gio de mémoire et 310 Gio d'espace disque dans la zone ou la région que vous avez choisie, plus un VPC, deux règles de pare-feu et une passerelle Cloud NAT dans le projet de votre choix. Assurez-vous que votre projet dispose d'un quota de ressources suffisant pour le déploiement. Vous pouvez vérifier votre quota et, si nécessaire, demander une augmentation.
Le projet n'autorise pas l'appairage de VPC
Cette erreur se produit si la contrainte de règle d'administration compute.restrictVpcPeering
est appliquée. Cette contrainte empêche la création d'un cluster privé GKE lorsqu'il n'existe aucune connexion d'appairage de réseaux VPC au réseau VPC du plan de contrôle GKE.
Solution suggérée
Effectuez l'une des opérations suivantes :
Créez un projet dans votre organisation actuelle. Demandez à votre administrateur des règles d'administration de modifier la stratégie
constraints/compute.restrictVpcPeering
afin d'autoriser la création d'un appairage de VPC pour ce projet.Utilisez un autre projet dans un dossier ou une organisation différents.
Le projet n'autorise pas les images de déploiement par clic
Cette erreur se produit si la contrainte de règle d'administration compute.trustedImagesProjects est appliquée. L'exemple de déploiement Anthos crée une instance Compute Engine avec une image permettant d'automatiser les tâches pour la configuration d'Anthos et le déploiement d'applications.
Solution suggérée
Effectuez l'une des opérations suivantes :
Créez un projet dans votre organisation actuelle. Demandez à votre administrateur des règles d'administration de modifier la stratégie
constraints/compute.trustedImageProjects
pour ce projet afin d'inclureprojects/click-to-deploy-images
.Utilisez un autre projet dans un dossier ou une organisation différents.
Le projet n'autorise pas le transfert d'adresses IP
Cette erreur se produit si la contrainte de règle d'administration compute.vmCanIpForward est appliquée. Le transfert IP est utilisé dans le cadre de l'exemple d'application.
Solution suggérée
Effectuez l'une des opérations suivantes :
Créez un projet dans votre organisation actuelle. Demandez à votre administrateur des règles d'administration de modifier la stratégie
constraints/compute.vmCanIpForward
pour ce projet afin d'autoriser le transfert de l'adresse IP de la VM.Utilisez un autre projet dans un dossier ou une organisation différents.
Le projet nécessite OS Login
Cette erreur se produit si la contrainte de règle d'administration compute.requireOsLogin est appliquée. OS Login n'est actuellement pas disponible dans Google Kubernetes Engine (GKE).
Solution suggérée
Effectuez l'une des opérations suivantes :
Créez un projet dans votre organisation actuelle. Demandez à votre administrateur des règles d'administration de modifier la stratégie
constraints/compute.requireOsLogin
pour ce projet afin qu'OS Login ne soit pas nécessaire.Utilisez un autre projet dans un dossier ou une organisation différents.
Échec du déploiement des clusters GKE
Le déploiement de clusters GKE peut échouer pour diverses raisons.
Solution suggérée
Effectuez l'une des opérations suivantes :
Lorsque vous rencontrez une erreur pour la première fois, tentez à nouveau d'effectuer le déploiement.
(Recommandé) Supprimez le projet, puis recommencez avec un nouveau projet.
Supprimez le déploiement en suivant les instructions de la section Supprimer le déploiement. N'essayez pas d'effectuer le déploiement à nouveau dans le même projet sans nettoyage.
Si l'erreur persiste, contactez votre équipe d'assistance ou laissez-nous vos commentaires dans notre formulaire d'enquête.
Échec du déploiement des composants GKE Enterprise
Deployment Manager peut échouer à l'une des étapes suivantes pendant le processus :
- cluster-registration-with-hub
- anthos-service-mesh-setup
- anthos-config-management-setup
- application-deployment
Solution suggérée
Effectuez l'une des opérations suivantes :
Lorsque vous rencontrez une erreur pour la première fois, tentez à nouveau d'effectuer le déploiement.
(Recommandé) Supprimez le projet, puis recommencez avec un nouveau projet.
Supprimez le déploiement en suivant les instructions de la section Supprimer le déploiement. N'essayez pas d'effectuer le déploiement à nouveau dans le même projet sans nettoyage.
Si l'erreur persiste, contactez votre équipe d'assistance ou laissez-nous vos commentaires dans notre formulaire d'enquête.
Déploiement existant de l'exemple de déploiement Anthos
Les déploiements précédents de l'exemple de déploiement Anthos doivent être supprimés avant de tenter tout nouveau déploiement. Supprimez le déploiement en suivant les instructions de la section Supprimer le déploiement. N'essayez pas d'effectuer le déploiement à nouveau dans le même projet sans nettoyage.
Autorisations du compte de service pour l'exemple de déploiement Anthos
Le compte de service de l'exemple de déploiement Anthos nécessite un certain nombre de rôles IAM. Le déploiement vérifie avant toute chose qu'il dispose des autorisations roles/runtimeconfig.admin
, afin de pouvoir ensuite indiquer l'état des vérifications préalables et des étapes d'installation.
Vous trouverez ci-dessous la liste complète des rôles requis par le compte de service Anthos Sample Deployment :
- roles/cloudtrace.agent
- roles/container.admin
- roles/deploymentmanager.editor
- roles/gkehub.admin
- roles/iam.serviceAccountAdmin
- roles/iam.workloadIdentityUser
- roles/logging.configWriter
- roles/logging.logWriter
- roles/meshconfig.admin
- roles/meshtelemetry.reporter
- roles/monitoring.metricWriter
- roles/resourcemanager.projectIamAdmin
- roles/runtimeconfig.admin
- roles/serviceusage.serviceUsageAdmin
- roles/source.admin
- roles/viewer
Si le compte de service de l'exemple de déploiement Anthos est supprimé et recréé avec le même nom, cela peut entraîner un comportement inattendu.